VYRESENO: imap pres ssl

Kateřina Bubeníčková katerina.bubenickova na plbohnice.cz
Pondělí Leden 26 12:47:07 CET 2004 

Pavel Kankovsky napsal(a):

>On Fri, 23 Jan 2004, Kateřina Bubeníčková wrote:
>
>  
>
>>mame Suse SLES 8, na kterem chci vyzvedavat postu pres ssl bez autentizace
>>(tj. abych nemusela na vsechny stanice rozesilat klice)
>>    
>>
>
>Rad, jak to resit, tady uz bylo dost. 
>
Pro me pouzitelny navod byl na http://www.knowplace.org/imaps.html.
Diky soukromym mejlum s p. Houstkou mi to uz chodi. Ve vetsine navodu 
neni uvedeno, kam se imapd.pem
ma umistit. To se zjisti z chybovych hlasek v /var/log/mail (u me).

>Ja bych jen poznamenal, ze "SSL bez
>autentizace" je uzitecne zhruba jako vypnute poplasne zarizeni. Nahodneho
>kolemjdouciho mozna odradi, ale proti cilevedomejsimu utocnikovi je to na
>dve veci.
>
>Utocnik totiz muze sifrovane spojeni misto prosteho odposlouchavani
>aktivne odchytit a predstirat klientovi, ze je server (coz klient nepozna,
>kdyz neoveri serverovy certifikat). Klient pak posila data v dobre vire,
>ze je bude schopen desifrovat server, ale ve skutecnosti provedl vymenu
>sifrovacich klicu s utocnikem, ktery tedy bude moci data desifrovat sam
>(a pak, podle toho, o co se utocnik snazi, je treba dal poslat na skutecny
>server)
>
>Vytvoreni certifikatu pro nejmene jednu stranu komunikace (mam dojem, ze
>SSL/TLS vyzaduje, aby certifikat na strane serveru, ale principialne by
>mohl byt treba i jen na strane klienta) a instalace certifikatu pro
>odpovidajici certifikacni autoritu na druhou stranu komunikace (*) a
>pouceni uzivatelu, ze nemaji bezhlave odsouhlasit spojeni, pokud jsou
>varovani, ze nelze overit certifikat protistrany (**), jsou nezbytne
>podminky smyspluplneho pouziti SSL/TLS. A nezalezi na tom, jestli je
>pouzity stunnel, nebo podpora vestavena primo v nejakem demonovi, nebo
>neco uplne jineho.
>
>(*) Pripadne pouziti CA, ktera je tam instalovana a priori, coz je ovsem
>nezridka spojeno s neadekvatnimi naklady.
>
>(**) Pripadne nucena instalace softwaru, ktery uzivateli proste neumoznuje
>vytvaret neduveryhodna spojeni.
>  
>
Spoleham se na ochranu, kterou pred vnejskem poskytuje firewall, kde 
samozrejme port  993 neni otevreny.
Profily jednotlivych uzivatelu jsou na novellovske siti, kam se kazdy 
musi prihlasit svym jmenem a
heslem, takze doufam, ze nemusim byt uplne paranoidni.

--
Katerina Bubenickova

Další informace o konferenci Linux